浅谈防火墙_路由器转发表和防火墙会话表，2024年最新阿里P8架构师

最新推荐文章于 2024-07-21 00:08:38 发布

2401_83947255

最新推荐文章于 2024-07-21 00:08:38 发布

阅读量803

点赞数 7

分类专栏： 2024年程序员学习文章标签：网络

本文链接：https://blog.csdn.net/2401_83947255/article/details/138011527

版权

2024年程序员学习专栏收录该内容

273 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

（3）认证域

认证域作用：决定认证的方式和组织结构，不同的认证域之间是或的关系。

登录名 — 作为登录凭证使用，一个认证域下不能重复

显示名 — 显示名不能用来登录，只用来区分和标识不同的用户。如果使用登录名区分，则也可以不用写显示名。显示名可以重复

账号过期时间 — 可以设定一个时间点到期，但是，如果到期前账号已登录，到期后，防火墙不会强制下线该用户

允许多人同时使用该账号登录：
私有用户 — 仅许一个人使用，第二个人使用时，将顶替到原先的登录
公有用户 — 允许多个人同时使用一个账户

IP/MAC绑定— 用户和设备进行绑定 (P地址/MAC地址)

绑定方式：

单向绑定 — 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录，但是，其他用户可以在该设备下登录
双向绑定 — 该用户只能在绑定设备下登录，并且该绑定设备也仅允许该用户登录
安全组和用户组的区别 — 都可以被策略调用，但是，用户组在调用策略后，所有用户组成员以及子用户组都会生效，而安全组仅组成员生效，子安全组不生效。

（4）认证策略

Portal— 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证
免认证— 需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以选择免认证，不做认证。
选择匿名认证，则登录者不需要输匿名认证 — 和免认证的思路相似，认证动作越透明越好，入用户名和密码，直接使用IP地址作为其身份进行登录。

9.防火墙的NAT和普通设备NAT

1、NAT的定义与作用

概念：

NAT（网络地址转换协议）主要用于实现位于内部网络的主机访问外部网络的功能，可以将私网地址转换为公网地址。

功能：

1、宽带分享，帮助解决IP地址不足，帮助上网

2、安全防护，可以有效的避免来自网络外部的攻击，隐藏保护网路内部的计算机

分类：

1、静态NAT

静态NAT实现了私有地址的一对一映射
一个公网IP只会分配给唯一且固定的内网主机
如果希望一台主机优先使用某个关联地址，或者想要外部网络使用一个指定的公网地址访问内部服务器时，可以使用静态NAT

2、动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换
动态NAT地址池中的地址用尽以后，只能等待被占用的公网地址被释放后，其他主机才能使用它来访问公网

3、Easy IP

Easy IP允许多个内部地址映射到网关出接口地址上的不同端口
Easy IP适用于小规模局域网中的主机访问internet的场景
小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问internet

2、防火墙上NAT

源NAT— 基于源IP地址进行转换。我们之前接触过的静态NAT，动态NAT，NAPT都属于源NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

当上网流量到达防火墙时，报文的私网源 IP 将被转换为公网 IP；当回程报文到达防火墙时，报文的公网目的 IP 将被转换为私网 IP。整个 NAT 转换过程对于内、外网主机来说是完全透明的。

源NAT是在安全策略之后执行。

目标NAT — 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器

双向NAT — 同时转换源IP和和目标IP地址

3.防火墙上NAT策略为何要配置路由黑洞

未配置路由黑洞的情况：

整个过程：

路由器收到公网PC访问NAT地址池地址的报文后，发现目的地址不是自己的直连网段，因此查找路由，发送到防火墙。

防火墙收到报文后，该报文不属于私网访问公网的回程报文，无法匹配到会话表，同时目的地址也不是自己的直连网段（防火墙没有意识到该报文的目的地址是自己的 NAT 地址池地址），只能根据缺省路由来转发。因为报文从同一接口入和出，相当于在同一个安全区域流动，缺省情况下也不受安全策略的控制，就这样报文又从 GE0/0/1 接口送出去了。

路由器收到报文后，查找路由，还是发送至防火墙，如此反复。这个可怜的报文像皮球一样被两台设备踢来踢去，最终被残忍丢弃，憾别网络… …

下面我们来看一下配置了黑洞路由的情况：

整个过程：

路由器收到公网PC访问NAT地址池地址的报文后，发现目的地址属于自己的直连网段，发送 ARP 请求，防火墙会回应这个 ARP 请求，前两个 ARP 报文就是来完成了这一交互过程的。然后路由器使用防火墙告知的 MAC 地址封装报文，发送至防火墙。

防火墙收到报文后，发现报文的目的地址和自己的 GE0/0/1 接口在同一网段，直接发送 ARP 请求报文（第三个 ARP 报文），寻找该地址的 MAC 地址（防火墙依然没有意识到该报文的目的地址是自己的 NAT 地址池地址）。但是网络中其它设备都没有配置这个地址，肯定就不会回应，最终防火墙将报文丢弃。

所以说，在这种情况下不会产生路由环路。但是如果公网上的捣乱分子发起大量访问时，防火墙将发送大量的 ARP 请求报文，也会消耗系统资源。所以，当防火墙上 NAT 地址池地址和公网接口地址在同一网段时，建议也配置黑洞路由，避免防火墙发送 ARP 请求报文，节省防火墙的系统资源。

4.NAT三元组和五元组

NAT类型 — 五元组NAT — 针对源P，目标IP，源端口，目标端口，协议这五个参数识别出的数据流进行端口转换
三元组NAT — 针源IP，源端口，协议三个参数识别出的数据流进行端口转换

二、协议讲解

1.FTP和TFTP

（1）基础信息

FTP协议是一个典型的C/S架构的协议

FTP------文件传输协议

Tftp — 简单文件传输协议

1，FTP相较于TFTP存在认证动作

2，FTP相较于TFTP拥有一套完整的命令集

FTP工作过程中存在两个进程：一个是控制进程，另一个是数据的传输进程，所以，需要使用两个端口号20，21 并且，FTP还存在两种不同的工作模式 — 主动模式，被动模式

（2）主动模式

（3）被动模式

抓包展示

192，168，1，1，8，2 — 前面是IP地址信息，后面的8，2代表的是端口号信息，计算方法 — 8 * 256 + 2 = 2050

像FTP这种使用多个端口号的协议叫做多通道协议（双通道协议）

2.ASPF协议

ASPF — 针对应用层的包过滤 — 用来抓取多通道协议中协商端口的关键数据包，之后，将端口算出，将结果记录在sever-map表中，相当于开辟了一条隐形的通道。

华为防火墙设备默认FTP协议开启了ASPF。

三、就近选路、双机热备和策略路由

1.就近选路

何为就近选路？顾名思义为选择较近的路，在多出口网络中指的是报文选择离目标网络花销较小的链路进行转发。

当企业内网用户访问外网服务器器 Server 时，报文途经防火墙有两条路径，正常情况下，企业一般会在出口防火墙上配置两条缺省路由，每个 ISP 一条。在前面我们说过缺省路由的选路是通过源 IP+目的 IP 的 HASH 算法来决定数据报文的转发路径，这就有可能导致到 ISPB 的 Server 流量经过 HASH 算法计算后从图中的路径 1 进行转发了，这样从路径 1 到 ISPA，再经过 ISPA 到 ISPB，绕一大圈后才能到能最终目的地，严重影响的转发效率和用户体验。那有什么办法让报文不绕道呢？通过配置明细路由即可达到要求，前面我们也说过，报文是优先匹配明细路由的，没有匹配的明细路由再去查找缺省路由的。就上面的组网，我们可以配置到 Server 的明细路由，下一跳指向 ISPB，这样报文匹配到这条明细路由后就不会绕道转发了，而是选择明细路由指定的链路，从图中看，选择的是两条路径中的最短路径，这就是我们所说的就近选路了。

2.双机热备

（1）什么是双机热备

如左下图所示，防火墙部署在企业网络出口处，内外网之间的业务都会通过防火墙转发。如果防火墙出现故障，便会导致内外网之间的业务全部中断。由此可见，在这种网络关键位置上如果只使用一台设备的话，无论其可靠性多高，我们都必然要承受因设备单点故障而导致网络中断的风险。于是，我们在网络架构设计时，通常会在网络的关键位置部署两台（双机）或多台设备，以提升网络的可靠性。如右下图所示，当一台防火墙出现故障时，流量会通过另外一台防火墙所在的链路转发，保证内外网之间业务正常运行。

（2）路由器的双机部署只需考虑路由备份

如果是传统的网络转发设备（如路由器、三层交换机），只需要在两台设备上做好路由的备份就可以保证业务的可靠性。因为普通的路由器、交换机不会记录报文的交互状态和应用层信息，只是根据路由表进行报文转发，下面举个例子来说明。如下图所示，两台路由器 R1 和 R2 与上下行设备 R3 和 R4 之间运行 OSPF 协议。正常情况下，由于以太网接口的缺省 OSPF Cost 值为 1，所以在 R3 上看 R1 所在链路（R3—>R1—>R4 —>FTP 服务器）的 Cost 值为 3。而由于我们在 R2 链路（R3—>R2—>R4—>FTP 服务器）的各接口上将 OSPF Cost 值设置为 10，所以在 R3 上看 R2 所在链路的 Cost 值为 21。由于流量只会通过 Cost 值小的链路转发，所以 FTP 客户端与服务器间的业务就都只会通过 R1 转发。

（3）防火墙的双机部署还需考虑会话备份

如果将传统网络转发设备换成状态检测防火墙，情况就大不一样了。回忆一下状态检测：状态检测防火墙是基于连接状态的，他会对一条流量的首包（第 4 双机热备一个报文）进行完整的检测，并建立会话来记录报文的状态信息（包括报文的源 IP、源端口、目的 IP、目的端口、协议等）。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发，如果后续报文不能匹配会话则会被防火墙丢弃。下面举个例子来说明，两台防火墙 FW1 和 FW2 部署在网络中，与上下行设备 R1 和 R2 之间运行 OSPF 协议。如左下图所示，正常情况下，由于 FW1 所在链路的 OSPF Cost 值较小，所以业务报文都会根据路由通过 FW1 转发（原理同前面的路由器的例子）。这时 FW1 上会建立会话，业务的后续报文都能够匹配会话并转发。如右下图所示，当 FW1 出现故障时，业务会被上下行设备上的路由信息引导到 FW2 上（原理同前面的路由器的例子）。但由于 FW2 上没有会话，业务报文因为找不到会话而被 FW2 丢弃，从而导致业务中断。这时用户需要重新发起访问请求（例如重新进行 FTP 下载），触发 FW2 重新建立会话，这样用户的业务才能继续进行。

（4）解决防火墙会话备份VRRP与VGRP

VRRP 是一种容错协议，它保证当主机的下一跳路由器（默认网关）出现故障时，由备份路由器自动代替出现故障的路由器完成报文转发任务，从而保持网络通信的连续性和可靠性。如下图所示，我们将局域网内的一组路由器（实际上是路由器的下行接口）划分在一起，形成一个 VRRP 备份组。VRRP 备份组相当于一台虚拟路由器，这个虚拟路由器有自己的虚拟 IP 地址和虚拟 MAC 地址（格式：00-00-5E-00-01-{VRID}，VRID 是 VRRP 备份组的 ID）。所以，局域网内的主机可以将默认网关设置为 VRRP 备份组的虚拟 IP 地址。在局域网内的主机看来，他们就是与虚拟路由器进行通信的，然后通过虚拟路由器与外部网络进行通信。

VRRP 备份组中的多个路由器会根据管理员指定的 VRRP 备份组优先级确定各自的 VRRP 备份组状态。优先级最高的 VRRP 备份组状态为 Master，其余 VRRP 备份组状态为 Backup。 VRRP 备份组的状态决定了路由器的主备状态。VRRP 备份组状态为 Master 的路由器称为 Master 路由器，VRRP 备份组状态为 Backup 的路由器称为 Backup 路由器。当 Master 路由器正常工作时，局域网内的主机通过 Master 路由器与外界通信。当 Master 路由器出现故障时，一台 Backup 路由器（VRRP 优先级次高的）将成为新的 Master 路由器，接替转发报文的工作，保证网络不中断。

为了解决多个 VRRP 备份组状态不一致的问题：

华为防火墙引入 VGMP（VRRP Group Management Protocol）来实现对 VRRP 备份组的统一管理，保证多个 VRRP 备份组状态的一致性。我们将防火墙上的所有 VRRP 备份组都加入到一个 VGMP 组中，由 VGMP 组来集中监控并管理所有的 VRRP 备份组状态。如果 VGMP 组检测到其中一个 VRRP 备份组的状态变化，则 VGMP 组会控制组中的所有 VRRP 备份组统一进行状态切换，保证各 VRRP 备份组状态的一致性。 VGMP 有状态和优先级两个基本属性，并且有三条基本运行原则：  VGMP的状态决定了组内VRRP备份组的状态，也决定了防火墙的主备状态。  VGMP组的状态是由两台防火墙的VGMP组通过比较优先级来决定的。优先级高的VGMP组状态为Active，优先级低的VGMP组状态为Standby  VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级。每个VRRP备份组的状态变成Initialize， VGMP组的优先级就会降低2。

了解并熟记了 VGMP 的基本原则后，下面我们一起来看 VGMP 如何解决 VRRP 问题。 如下图所示，我们在 FW1 上将 VRRP 备份组 1 和 VRRP 备份组 2 都加入状态为 Active 的 VGMP 组，在 FW2 上将 VRRP 备份组 1 和 VRRP 备份组 2 都加入状态为 Standby 的 VGMP 组。由于 VGMP 组的状态决定了组内 VRRP 备份组的状态，所以 FW1 上 VRRP 备份组 1 和 2 的状态都为 Active，FW2 上 VRRP 备份组 1 和 2 的状态都为 Standby。这样 FW1 就是 VRRP 备份组 1 和 VRRP 备份组 2 中的 Active 路由器（也就是两台防火墙中的主用设备），而 FW2 就是他们的 Standby 路由器（也就是两台防火墙中的备用设备），所以上下行的业务流量都会被引导到主用设备 FW1 转发。

如下图所示，当 FW1 的接口故障时，VGMP 组控制 VRRP 备份组状态统一切换的过程如下：

1）当FW1的GE1/0/1接口故障时，FW1上的VRRP备份组1发生状态切换（由Active切换成 Initialize）。

2） FW1的VGMP组感知到这一故障后，会降低自身的优先级，然后与FW2的VGMP组比较优先级，重新协商主备状态。

3）协商后，FW1的VGMP组状态由Active切换成Standby，FW2的VGMP组状态由Standby 切换成Active。

4）同时，由于VGMP组的状态决定了组内VRRP备份组的状态，所以FW1的VGMP组会强制组内的VRRP备份组2由Active切换成Standby状态，FW2的VGMP组也会强制组内的 VRRP备份组1和2由Standby切换成Active状态。这样FW2就成为了VRRP备份组1和 VRRP备份组2中的Active路由器，也就成了为两台防火墙中的主用设备；而FW1则成为了VRRP备份组1和VRRP备份组2中的Standby路由器，也就成为了两台防火墙中的备用设备。

5） FW2会分别向LSW1和LSW2发送免费ARP，更新他们的MAC转发表，使PC1访问PC2 的上行报文和回程报文都转发到FW2。这样就完成了VRRP备份组状态的统一切换，并且保证业务流量不会中断。

如下图所示，每台防火墙提供两个 VGMP 组：Active 组和 Standby 组。缺省情况下，Active 组的优先级为 65001，状态为 Active；Standby 组的优先级为 65000，状态为 Standby。主备备份情况下，主用设备启用 Active 组，所有成员（例如 VRRP 备份组）加入 Active 组；备用设备启用 Standby 组，所有成员加入 Standby 组。负载分担情况下，两台设备都启用 Active 组和 Standby 组，每台设备上的所有成员分别加入 Active 组和 Standby 组。FW1 的 Active 组和 FW2 的 Standby 组形成一组“主备”，FW2 的 Active 组和 FW1 的 Standby 组形成一组“主备”，两台防火墙互为“主备”，形成负载分担。